:cool:
BuonGiorno a tutti...
Cerco di spiegare il mio problema:
1)sono in una struttura (aula) con n pc collegati in rete che possono anche andare su internet.
2)io voglio collegare il mio portatile a questa rete e semplicemente stacco il cavo di rete dal mio pc fisso e lo attacco a al mio portatile(uso winXP professional su entrambi), ma non riesco ne a vedere la rete interna ne andare su internet.
Premetto che sono amministratore di entrambe le macchine e che quindi sul pc fisso vedo gli indirizzi IP e li imposto gli stessi sul portatile ma anche così non funziona niente.
Non riesco a capire cosa devo fare oltre a quello che ho già fatto...
Se qualcuno saprebbe aiutarmi lo ringrazio anticipatamente.

qual'è il PC che fa da gateway?
forse fa un controllo (lui o il router) sul MAC address dele schede di rete, non riconosco quello del portatile e non ti da accesso

Originariamente inviato da Sdruso
qual'è il PC che fa da gateway?
forse fa un controllo (lui o il router) sul MAC address dele schede di rete, non riconosco quello del portatile e non ti da accesso

Nell'aula in cui mi trovo non c'è nessun pc che fa da gateway, però sulla mia macchina se vado a vedere le proprietà tcp/ip ho impostato un valore per il gateway, ci potrei fare qualcosa con quello?

non è che magari c'è un server di autentificazione???

Cmq mettendo il gateway e dns dovresti poter uscire..

devi mettere sul portatile il valore del gateaway e del DNS che trovi nel pc della LAN!

Se hai già provato, ma no funziona, allora ci son dei controli sul mac address.
ti faccio un esempio:
i tuoi pc dell'aula avranno un ip del tipo
192.168.1.3
192.168.1.4
192.168.1.5
192.168.1.6
etc

il gateway presumibilmente sarà un ip 192.168.1.1

deve vedere se sulla macchina che ha quell'ip ci sono dei controlli sul mac address

OPPURE (ma qua già diventa un po' + complicato) in rete trovi dei programmini che cambiano virtualmente il tuo MAC address.
Quindi: digiti ipconfig /all su uno dei pc della tua aula e ottieni il mac address. Ti trovi il programmino in questione e metti al portatile il mac address del pc della LAN (con tutti i dati, ip, gateway e dns corretti ovviamente), lo attacchi e sei a posto

Originariamente inviato da lucadeep
non è che magari c'è un server di autentificazione???

Cmq mettendo il gateway e dns dovresti poter uscire..

Non so se ci sia un server di autentificazione so solo che ci sono più aule collegate in rete e che c'è un CED con un server ed un sistemista che lo gestisce.
Cmq ho provato a mettere gli stessi parametri che ho sul mio pc fisso sul portatile ma senza nessun risultato.

chiedi al sistemista! è lì per quello! :D

beh a questo punto ti avviso (ma lo saprai già :D ) che se c'è un sistemista dientro, c'è anche un regolamento che vieta l'utilizzo di computer privati attaccati alla lan scolastica

Originariamente inviato da Sdruso
devi mettere sul portatile il valore del gateaway e del DNS che trovi nel pc della LAN!

Se hai già provato, ma no funziona, allora ci son dei controli sul mac address.
ti faccio un esempio:
i tuoi pc dell'aula avranno un ip del tipo
192.168.1.3
192.168.1.4
192.168.1.5
192.168.1.6
etc

il gateway presumibilmente sarà un ip 192.168.1.1

deve vedere se sulla macchina che ha quell'ip ci sono dei controlli sul mac address

OPPURE (ma qua già diventa un po' + complicato) in rete trovi dei programmini che cambiano virtualmente il tuo MAC address.
Quindi: digiti ipconfig /all su uno dei pc della tua aula e ottieni il mac address. Ti trovi il programmino in questione e metti al portatile il mac address del pc della LAN (con tutti i dati, ip, gateway e dns corretti ovviamente), lo attacchi e sei a posto
Si è come dici tu. Mi sa che mi tocca provare la soluzione + complicata.

Originariamente inviato da Sdruso
beh a questo punto ti avviso (ma lo saprai già :D ) che se c'è un sistemista dientro, c'è anche un regolamento che vieta l'utilizzo di computer privati attaccati alla lan scolastica

Si questo lo so, ma io lo faccio per una questione di curiosità informatica, non voglio assolutamente fare casini ne tantomeno scaricare robba, anche perchè lo potrei fare tranquillamente da quello fisso e poi con una penDrive trasferirmi il tutto.
E poi è una sfida con i miei colleghi di corso, che sono tutti laureati in ingegneria mentre io no e loro non ne capiscono veramente un'emerito c..... (scusa lo sfogo ma quando vedo alcune cose...)

Originariamente inviato da gohan
chiedi al sistemista! è lì per quello! :D

Si lo potrei fare ma vorrei riuscirci da solo è una questione di curiosità informatica e di sfida con i miei colleghi di corso, che sono tutti laureati in ingegneria mentre io no e loro non ne capiscono veramente un'emerito c..... (scusa lo sfogo ma quando vedo alcune cose...)

x caso sei in un dominio?

Originariamente inviato da Jaxoon
x caso sei in un dominio?
:D Bella domanda...Penso di si, cmq da dove lo verifico?

start-pannello di controllo-sistema-identificazione rete. Da qui vedi se sei in un dominio.

Se sei in un dominio, prima di mascherare il MAC-Address prova dare lo stesso nome del pc fisso al portatile, poi nella stessa finestra (in basso) specifichi il dominio di accesso...Probabilmente ti chiederà di entrare con un utente, e provi con lo stesso utente di login del pc fisso... Prova così... ;)

Secondo me l'autorizzazione per navigare in Internet è attraverso utenza o via MAC-address.
Quando apri una pagina WEB devi ridigitare l'utenza e la psw?
Prova a clonare il tuo mac-address sul laptop con gli gli stessi indirizzi del desktop, in questo modo l'unica cosa che cambia è il S.I.D. della macchina, ma mi viene molto dura credere che abbiamo fatto l'abilitazione sul S.I.D. anche perchè mi viene impossibile sviluppare un progetto del genere o per lo meno non saprei da che parte incominciare!!!



Saluti.:cool:

ma chi è quel pazzo che farebbe l'autorizzazione su mac address?:cool:

si in effetti... :sofico:

beh vediamo che ci dice ilnostro amico, magari si autentica come domain user e tutto funziona!

Originariamente inviato da gohan
ma chi è quel pazzo che farebbe l'autorizzazione su mac address?:cool:

quoto e appoggio..... :)

dal momento che non ci sarà solo quell'aula.....
Molto più facile che ci sia un proxy, magari isa o proxy 2.o oppure con linux, se è un dominio 2000 probabilmente c'è l'autenticazione integrata...
Mi sa che abbiamo poche info x risolvere... :p

PER GOHAN...

Quel pazzo sono io, in quanto nella nostra azienda abbiamo fatto l'abilitazione ad internet sul mac e sulla fast-ethernet.

Grazie per l'insulto gratuito.:mad: :mad:

Originariamente inviato da roberto77
PER GOHAN...

Quel pazzo sono io, in quanto nella nostra azienda abbiamo fatto l'abilitazione ad internet sul mac e sulla fast-ethernet.

Grazie per l'insulto gratuito.:mad: :mad:

scusa ma non credo sia un insulto, solo che mi sembra la via più complicata per raggiungere l'obiettivo...

Dove lavoravo prima avevo circa 3000 host e tutti uscivano dalle stesso posto, ti voglio vedere configurare tutto tramite MAC....
;)

PROXY POWER!!!!!!!!!

Originariamente inviato da Devastor
scusa ma non credo sia un insulto, solo che mi sembra la via più complicata per raggiungere l'obiettivo...

Dove lavoravo prima avevo circa 3000 host e tutti uscivano dalle stesso posto, ti voglio vedere configurare tutto tramite MAC....
;)

PROXY POWER!!!!!!!!!
Sicuramente Gohan non voleva insultare nessuno, ma quello che ha proposto roberto77 non e' certamente una pazzia ed e' una cosa che si fa abbastanza spesso per evitare collegamenti di dispositivi non autorizzati come quello che vuole fare skyn80 (noi in ditta l'abbiamo attivato da un po' di tempo).
Tecnicamente non e' nemmeno difficile da implementare, ad esempio con switch Cisco e' sufficiente attivare il port security e lo switch stesso impara automaticamente i mac address dei PC collegati. Una volta passata la fase di apprendimento ogni MAC address non riconosciuto provoca lo shutdown della porta oppure il blocco del traffico a seconda di come e' configurata la security.
Ad esempio FastWeb usa questo metodo per evitare che gli utenti residenziali colleghino intere reti locali agli HAG (e non ricordo male il port security e' impostato a 2 o 3 MAC address).

Ciao.

Originariamente inviato da TheMaxx
Sicuramente Gohan non voleva insultare nessuno, ma quello che ha proposto roberto77 non e' certamente una pazzia ed e' una cosa che si fa abbastanza spesso per evitare collegamenti di dispositivi non autorizzati come quello che vuole fare skyn80 (noi in ditta l'abbiamo attivato da un po' di tempo).
Tecnicamente non e' nemmeno difficile da implementare, ad esempio con switch Cisco e' sufficiente attivare il port security e lo switch stesso impara automaticamente i mac address dei PC collegati. Una volta passata la fase di apprendimento ogni MAC address non riconosciuto provoca lo shutdown della porta oppure il blocco del traffico a seconda di come e' configurata la security.
Ad esempio FastWeb usa questo metodo per evitare che gli utenti residenziali colleghino intere reti locali agli HAG (e non ricordo male il port security e' impostato a 2 o 3 MAC address).

Ciao.

ok ma siamo d'accordo sul fatto che è più scomodo?
se rompi una scheda di rete e la cambio quel pc non va...
io Credo che in una grande struttura non sia la scelta più conveniente, poi il mondo è bello perchè le idee sono diverse....
;)

Originariamente inviato da roberto77
PER GOHAN...

Quel pazzo sono io, in quanto nella nostra azienda abbiamo fatto l'abilitazione ad internet sul mac e sulla fast-ethernet.

Grazie per l'insulto gratuito.:mad: :mad:
accipicchia come siamo permalosi...... :rolleyes:

Però su una rete di tanti pc è sicuramente molto meno dispendioso avere un proxy con autenticazione sull'utente di dominio piuttosto che stare lì a configurare i mac autorizzati; senza contare il fatto che se un giorno un pc si fulmina, chi lo usa deve cercare un'altro pc che sia autorizzato per usare internet quando basterebbe loggarsi su un qualsiasi pc.

Originariamente inviato da Devastor
ok ma siamo d'accordo sul fatto che è più scomodo?
se rompi una scheda di rete e la cambio quel pc non va...
La rottura di una scheda e la sua sostituzione comporta comuqnue l'intervento di un qualche amministratore o tecnico del supporto e quindi parallelamante e' sufficiente resettare il port security su quella porta dello switch (lavoro da 20 secondi).


Originariamente inviato da Devastor
io Credo che in una grande struttura non sia la scelta più conveniente, poi il mondo è bello perchè le idee sono diverse....
;)
Secondo me proprio nelle grandi strutture dove c'e' un grande movimento di personale interno ed esterno e' necessario attivare questo tipo di misure di sicurezza per evitare l'uso improprio delle risorse aziendali.

Ciao.

Originariamente inviato da gohan
Però su una rete di tanti pc è sicuramente molto meno dispendioso avere un proxy con autenticazione sull'utente di dominio piuttosto che stare lì a configurare i mac autorizzati;
La sicurezza basata su MAC puo' non essere la scelta migliore per regolare l'accesso ad internet ma secondo me e' necessaria per evitare l'uso di PC non autorizzati all'interno della rete aziendale: che senso ha mettere in piedi un sistema centralizzato di virus e email scanning se poi qualunque dipendente o consulente esterno puo' portarsi da casa un portatile 'impestato' e contaminarti la rete?

Con l'ultima legge sulla privacy (entrata in vigore il 1° gennaio) la sicurezza non e' piu' un optional (non lo era nemmeno prima) e anche per gli amministratori di sistema e di rete possono esserci ricadute di tipo penale in caso di compromissione dei dati.

Ciao.

se uno ha un dominio configurato bene, tutte le risorse di rete dovrebbero essere accessibili solo dagli utenti del dominio: quindi un pc sconosciuto che non fa parte del dominio non può fare niente! :D

Originariamente inviato da TheMaxx
La rottura di una scheda e la sua sostituzione comporta comuqnue l'intervento di un qualche amministratore o tecnico del supporto e quindi parallelamante e' sufficiente resettare il port security su quella porta dello switch (lavoro da 20 secondi).



Secondo me proprio nelle grandi strutture dove c'e' un grande movimento di personale interno ed esterno e' necessario attivare questo tipo di misure di sicurezza per evitare l'uso improprio delle risorse aziendali.

Ciao.

lavoro da 20 secondi se le persone che ci lavorano sono poche e sanno bene come funziona il tutto perchè ti garantisco che quando hai un ced di 10 persone x i server più 7/8 tecnici junior in giro x fare i client del casino ce ne viene.... :cool:

Dove ho tirato su il dominio se non sei autorizzato non esci perchè il firewall permette solo al proxy di uscire e il proxy a sua volta ha certi utenti, in più hai anche i log ben leggibili e chiari sulle statistiche dii visite dei siti e l'uso che gli utenti fanno di internet, per parlare della privacy e leggi varie....
Se oggi mi si rompe un pc, me ne portano un altro, entro nel dominio e tac sono già configurato un'altra volta.... Credo che più rapido di così non ci sia niente.... ;)

Originariamente inviato da gohan
se uno ha un dominio configurato bene,
Ecco questo potrebbe essere un bel problema ... ;)

Originariamente inviato da gohan
tutte le risorse di rete dovrebbero essere accessibili solo dagli utenti del dominio: quindi un pc sconosciuto che non fa parte del dominio non può fare niente! :D
Io la vedo dal punto di vista del sistemista di reti: preferisco fidarmi di uno switch che ti sega accessi non autorizzati al livello due della pila OSI piuttosto che del mirabolante accrocchio di Zio Bill chiamato Active Directory ... Ovviamente scherzo: sono convinto che AD sia un buon sistema ma ti assicuro che al nostro sistemista Windows, pur essendo un virtuoso di AD, non dispiace che ci sia il port security sugli switch.

Originariamente inviato da Devastor
lavoro da 20 secondi se le persone che ci lavorano sono poche e sanno bene come funziona il tutto perchè ti garantisco che quando hai un ced di 10 persone x i server più 7/8 tecnici junior in giro x fare i client del casino ce ne viene.... :cool:
E' tutto un discorso di organizzazione: dovete tenere una mappa sempre aggiornata dei cablaggi, delle porte switch e dei PC collegati. Se non fate una cosa del genere, soprattutto nel caso di realta' grosse come la vostra (se ho compreso bene da quello che scrivi) rischiate parecchio.

Originariamente inviato da Devastor
Dove ho tirato su il dominio se non sei autorizzato non esci perchè il firewall permette solo al proxy di uscire e il proxy a sua volta ha certi utenti, in più hai anche i log ben leggibili e chiari sulle statistiche dii visite dei siti e l'uso che gli utenti fanno di internet, per parlare della privacy e leggi varie....
Infatti, anche noi usiamo proxy e firewall con logging degli accessi ed archiviazione su supporti ottici degli storici per gli adempimenti di legge. E' solo che la sicurezza di una LAN non si limita al solo al controllo di Internet, ci possono essere tante danni che un PC 'impazzito' puo' fare in un a rete senza accedere direttamente all'esterno.

Originariamente inviato da Devastor
Se oggi mi si rompe un pc, me ne portano un altro, entro nel dominio e tac sono già configurato un'altra volta.... Credo che più rapido di così non ci sia niente.... ;)
Questo vale anche per il port security: semplicemente negli step necessari all'installazione o sostituzione di un PC aggiungi anche il reset della security sulla porta.

Poi comunque vale sempre la regola che ognuno fa come meglio crede, come dicevi giustamente tu "il mondo è bello perchè le idee sono diverse" :)

Ciao.

maxx... però mica tutte le aziende hanno switch cisco con quelle funzioni!;)
Chiaro che più livelli di sicurezza implemeti più rendi difficile la vita a chi tenta di entrare.... però per ogni situazioni bisogna fare un'analisi di quello che vuoi proteggere e il come: non c'è una soluzione universale.
Il discorso del dominio è che cmq già quello ti permette di avere già un buon livello di sicurezza; poi se ci vuoi aggiungere qualcos'altro, ben venga. :cool:

Originariamente inviato da TheMaxx

Infatti, anche noi usiamo proxy e firewall con logging degli accessi ed archiviazione su supporti ottici degli storici per gli adempimenti di legge. E' solo che la sicurezza di una LAN non si limita al solo al controllo di Internet, ci possono essere tante danni che un PC 'impazzito' puo' fare in un a rete senza accedere direttamente all'esterno.



A parte il discorso di Gohan sul /prezzo/qualità/necessità che credo sia fondamentale, credo che a questo punto l'implementazione che hai descritto tu sia un di più, se usate anche un proxy, qualcosa che da maggiore sicurezza...... :)

:eek: Ragazzi non volevo procurare una così animata discussione oggi è sabato ne riparliamo lunedì.
Cmq la mia è solo voglia di apprendere cose nuove e no di navigare a sbaffo...ricordatelo..

Originariamente inviato da skyn80
:eek: Ragazzi non volevo procurare una così animata discussione oggi è sabato ne riparliamo lunedì.
Cmq la mia è solo voglia di apprendere cose nuove e no di navigare a sbaffo...ricordatelo..

Effettivamente ci stavo pensando anche io, che da una domanda innocente ne è saltato fuori un....... ;)

Comunque a parte tutto credo sia molto interessante questo scambio di opinioni e differenti modi di risolvere lo stesso problema ;)

Originariamente inviato da gohan
maxx... però mica tutte le aziende hanno switch cisco con quelle funzioni!;)
Chiaro che più livelli di sicurezza implemeti più rendi difficile la vita a chi tenta di entrare.... però per ogni situazioni bisogna fare un'analisi di quello che vuoi proteggere e il come: non c'è una soluzione universale.
Il discorso del dominio è che cmq già quello ti permette di avere già un buon livello di sicurezza; poi se ci vuoi aggiungere qualcos'altro, ben venga. :cool:
Perfettamente d'accordo: e' chiaro che non implementi il port security per il piccolo ufficio con una dozzina di posti macchina. Un controllo degli accessi a livello 2 comincia ad avere senso solo in grosse strutture dove non e' possibile il presidio fisico di tutte le postazioni di lavoro.

Ciao.

Originariamente inviato da Devastor
A parte il discorso di Gohan sul /prezzo/qualità/necessità che credo sia fondamentale, credo che a questo punto l'implementazione che hai descritto tu sia un di più
A mio pare no, port security e proxy hanno due scopi diversi e quindi ha senso implementarli tutti e due: il primo per evitare la connessione di apparati estranei ed il secondo per regolare l'accesso ad internet.
Tieni presente che il solo proxy non impedisce ad un PC estraneo di fare cose non autorizzate sulla LAN locale. Se poi il blocco verso internet non e' totale (ovvero se e' bloccata solo la porta 80) una macchina estranea infettata puo fungere da trampolino per svariati virus e worm.

Ciao.

Originariamente inviato da Devastor
Comunque a parte tutto credo sia molto interessante questo scambio di opinioni e differenti modi di risolvere lo stesso problema ;)
I forum sono qui per questo direi ... :D

Ciao.

Originariamente inviato da TheMaxx
A mio pare no, port security e proxy hanno due scopi diversi e quindi ha senso implementarli tutti e due: il primo per evitare la connessione di apparati estranei ed il secondo per regolare l'accesso ad internet.
Tieni presente che il solo proxy non impedisce ad un PC estraneo di fare cose non autorizzate sulla LAN locale. Se poi il blocco verso internet non e' totale (ovvero se e' bloccata solo la porta 80) una macchina estranea infettata puo fungere da trampolino per svariati virus e worm.

Ciao.

Ok, su questo sono pienamente d'accordo ma il tutto era iniziato per l'accesso a internet, quindi io, secondo la mia esperienza, ho sempre detto proxy partendo dal presupposto comunque che il Firewall fosse config correttamente e senza tenere conto del potenziale danno in locale di un pc estraneo..... :)

Dove lavoro io, in una azienda internazionale bellica, la sicurezza industriale è sopra ogni categoria, per navigare in internet devi avere configurato il proxy, deve essere abilitato la fast-ethernet e deve essere abilitato il mac.
Per collegarti alla rete aziendale invece deve essere abilitata la fa in quanto dove non vi è pc la porta è in shutdown, ovvio che ogni tanto visto la movimentazione del personale, una porta può scappare, ma se un mac non autorizzato si collega alla lan mi arriva subito un warning.


"W I CISCO"

però il controllo sui mac address lo fai per l'accesso alla rete, non solo per l'accesso a internet: il mio discorso di "essere pazzi" era riferito all'accesso internet.

lo sniffing è su tutti e due. il tuo giuduzio di esser pazzi è per quanto riguarda lo sbattimento e potrei essere anche d'accordo però la sicurezza in una rete molto grossa è indispensabile. non per niente siamo in 4 per quanto riguarda la lan - wan.

la sicurezza è cmq fondamentale, però deve essere sempre proporzionata a cosa devi proteggere.

ed è per questo che la nostra sicurezza dipende direttamente dall'amministratore delegato ed è al di sopra delle parti.



saluti.

;)

.... al di sopra delle parti, ma comunque nell'ufficio affianco agli admin-networking ....... :D

Ma alla fine io come posso far funzionare il mio portatile a questa rete?
Non è che io sia proprio ignorante in materia di reti però quello che avete scritto...

metti la stessa conf di rete che hai sul pc fisso (ip, gateway, DNS) e joinati la dominio del PC fisso.
Prova così, se non funziona può essere un problema di access list basata sui mac address

Originariamente inviato da Sdruso
metti la stessa conf di rete che hai sul pc fisso (ip, gateway, DNS) e joinati la dominio del PC fisso.
Prova così, se non funziona può essere un problema di access list basata sui mac address

Le stesse configuazioni le ho già messe tranne che non so come
"joinarmi" al dominio...

tasto dx su "risorse del computer" ---> proprietà
"nome computer" ---> cambia
e metti il nome del dominio

il problema è che se ti chiede la pws di amministratore del dominio per accettare il nuovo pc arrivato, sei fregato! :cry:

Originariamente inviato da Sdruso
tasto dx su "risorse del computer" ---> proprietà
"nome computer" ---> cambia
e metti il nome del dominio

il problema è che se ti chiede la pws di amministratore del dominio per accettare il nuovo pc arrivato, sei fregato! :cry:

Tra un po provo e poi ti faccio sapere il risultato

Ho provato ma dopo che inserisco il nome del dominio e clicco su OK mi da un messaggio d'errore:

"Impossibile contattare un controller di dominio per il dominio nomeDomionio.dominio"

Assicurarsi che il nome di dominio sia stato immesso correttamente.

Se il nome è corretto, fare clic su Dettagli per informazioni sulla risoluzione del problema."

Il nome è corretto perchè ho controllato carattere per carattere, aiuto non so cosa altro scrivere.

hai impostato lo stesso dns dei pc che sono già in rete?

Originariamente inviato da skyn80
Ho provato ma dopo che inserisco il nome del dominio e clicco su OK mi da un messaggio d'errore:

"Impossibile contattare un controller di dominio per il dominio nomeDomionio.dominio"

Assicurarsi che il nome di dominio sia stato immesso correttamente.

Se il nome è corretto, fare clic su Dettagli per informazioni sulla risoluzione del problema."

Il nome è corretto perchè ho controllato carattere per carattere, aiuto non so cosa altro scrivere.

hai un problema di risoluzione dei nomi, ricontrolla i parametri di rete
;)

a meno che non abbiano aggiunto policy al dominio gli basta un User/Password che fa parte dei Domain Users, fino a 10 Join le può fare ;)